Dai un occhiata qui http://forum.pfsense.org/index.php/topic,8248.msg48122.html#msg48122

Ho postato la mia configurazione per quanto riguarda il captive portal, il portforwarding per squid e le regole di firewall. Poi dimmi se vanno bene per te.

ok , ho trovato i pacchi in system->packages

grazie

Fatti vivo su msn … devo farti delle domande in tempo reale.

In primo luogo ... sul server A (pf) ci sono 3eth gisuto ?
Immagino una LAN + una WAN + una OPT

Poniamo che l'OPT sia quella che usi per Server B tu da LAN 192.168.1.10 vuoi pingare 10.0.0.2 gisuto ?
Immagino di si ... ma così come l'hai disegnato già dovrebbe andare in quanto il tuo dgw già vede le lan a cui tu vuoi arrivare ... ovviamente se hai messo nelle regole di opt una regola che lasci passare il traffico della lan verso questa interfaccia.

L'altro mio dubbio è il cavo cross ... hai provato con uno switch in mezzo .. solo così a titolo di prova ... ho qualche dubbio nella mia mente pazza invasa dal VoIP e del Wireless :D :P !

Senti cercami in MSN ... devo fare delle domande in tempo reale ... altrimenti ci impieghiamo 30 post per arrivare alla fine.

Ciaoz.-

Belle domande che fai non ne ho la + pallida idea … ottimo faccio 2 exp.
In parole povere tu vorresti convertire l'iso in un usb avviabile giusto ?

Penso di si ... non dovrebbe essere impossibile ma devo vedere come fare dato che con iso di freebsd non ho mai provato e non so su che tools si basa. :D

Ciaoz.- alla prox.!

ciao

ti ho mandato una mail, grazie 1k!

Ad oggi il QoS "standard" in pf non c'è.
In effetti posso confermare che non è proprio il massimo della semplicità ma se ci smanetti un pochino dovresti prenderci mano … io ciò messo un paio di mesi per riuscire a prenderci confidenza.

Ciaoz.-

@bruno:

@firewall:

Inoltre, ho notato che riesco a pingare il mio router (collegato sull'interfaccia WAN) da qualsiasi computer della LAN.
Ma non deve essere cosi di default, o mi sbaglio? In pratica, in questo modo tutti possono impostare come gateway direttamente il router e non passare per il firewall…

hai verificato solo il ping e ipotizzato la possibilità di uscire direttamente via router cambiando gw o è davvero così?
dubito che il tuo client (con ip privato) abbia idea di come raggiungere il router (che avrà ip pubblico) senza un gateway appartenente alla stessa subnet della tua LAN per cui dovrebbe essere impossibile che funzioni.

si… la mia è stata un'ipotesi... comunque appena ho 10 minuti provo e aggiorno il topic...
grazie mille!!!

Come gia detto in altri post … prima di lasciare richieste così vaste date un occhio al resto del forum ... praticamente 4/5 di quello che chiedi è gia stato chiesto in altri Post (lo so per certo perchè in molti di quelli ho risposto pure io).

In ogni caso ... quello che chiedi di fare è perfettamente fattibile ovviamente basta un pochino d'impegno, una buona dose di pazienza e voglia di fare.

Per quanto concerne l'hw ti basta un pc con 3 sk di rete ( o 2 sk di rete rame + un wifi basata su chip atheros, nello specifico risparmieresti l'ap).

Per quanto concerne l'autentificazione puoi farlo con captive portal e radius o con ISA (Win2k3 + AD) qui c'è il link per un ottimo help http://pfsense.iserv.nl/tutorials/cp_config/radius_win2k3.htm

Sul captive portal ti consiglio di cercare qui e la sul forum, anche in ita trovi più di un post.

Che altro dire … be monta il PC, scarica l'iso installa e prova poi se ti blocchi a quel punto chiedi ... :D :P

Ciaoz.-

Matteo

Ho risolto tutto e spero che quello che riporto possa essere di aiuto ad altri.

le porte radius vanno cambiate nel file /etc/inc/vpn.inc il server RADIUS deve essere nella stessa rete del lato LAN di pfsense la subnet dei client PPTP funziona meglio se la si lascia in /28 (/etc/inc/globals.inc)

Grazie a tutti per il supporto!

A dire il vero nel caso di VMware i tools ci son pure per altri os.
Non so bene a cosa possa servirti installare i tools sotto una VM di pf in ogni caso qui ci sono delle info:
http://www.vmware.com/support/ws55/doc/ws_newguest_tools_freebsd.html

Ciaoz.-

Matteo Secchi

PS:io pf su VM lo uso perfettamente senza tools e va benone … precisiamo rispetto ad una macchina reale non ci sono paragoni con i tempi di latenza ed altri piccole cose !

Nel tuo schema c'è un problema di fondo come fai ad avere sulla stessa classe di rete wan e lan del PF ?!? Hai usato subnet 255.255.255.255 per dichiararle ?  Se no allora per forza c'è qualcosa che non va … pf non sa chi sia wan e chi sia lan e da qui non c'è nat!
Una nat ti serve per convertire (traslare) una rete o più in un altra rete con le regole che decidi.
Altra cosa l'ip del tuo pc ti viene assegnato da quel fw di fastweb o l'hai scelto tu ?

in linea di massima :

INTERNET [] FASTWEB [] FW FASTWEB [] IP WAN PF 192.168.XXX.YYY [ PF ] IP LAN PF 192.168.ZZZ.YYY –> IP PC 192.168.ZZZ.KKK

A questo punto puoi dire a pf di traslare le porte dal tuo ip ad un altro.

Ciaoz.-

Il messaggio era questo Event ID 13: Error: RADIUS message recieved from invalid RADIUS client IP:
xx.xx.xx.xx dove xx.xx.xx.xx è l'ip del firewall.
Ho capito come mai, perchè IAS come servizio parte più velocemente del server DNS (sulla stessa macchina), quindi riavviando IAS tutto rifunziona da subito.
Un workaround può essere mettere l'ip del router nel file hosts, oppure configurare il server radius in modo che il client appaia non come nome, ma come ip.

Ciao Alcholic, dopo le 2 chiacchere di questa mattina in chat ho provato con il mio pf ad abilitare la funzione per utilzzarrlo un server 2X ThinClient e con quello non mi ha dato alcun tipo di problema …
Non saprei dove potrebbe essere il problema .. :|

ciaoz.-

Anche io ho un Cisco di Fastweb e finora nessun problema. Non sono molto sicuro che il tuo Cisco sia impostato su 192.168.1.1
Il mio Cisco ha una sola porta wan e ha assegnato un IP statico della rete fastweb e non uno della mia rete interna. Io ti consiglio di dare una occhiata al rapportino tecnico di chi è venuto a configurarti il Cisco perchè lì ci sono scritti tutti gli ip statici di fastweb che hai e il loro eventuale nat 1:1 su ip della rete interna.

Io ho collegato Pfsense esattamente come hai fatto tu assegnando alla porta wan uno degli ip statici di Fastweb e impostando come gateway l'ip statico del cisco. Controlla bene le subnet mask per la wan, nel mio caso è ip/8 ed è probabile che anche tu debba settarla così.

Ciao.

@mascaos:

Ottimo alla fine hai fatto quello che ti averi detto io.
cut domanda hai dovuto usare la 1.2 rc3 o rc4 perchè a me con la 1.0.1 non andava mica !

Guarda, io uso la 1.0.1 e funziona per ora.
Ero interessato a mettere su la nuova, ma essendo in produzione mi sono fermato :)
In effetti mi interesserebbe soprattutto se fosse migliorata la gestione del traffic shaping
ma ho il terrore che upgradando qualcosa possa andare storto e poi chi se li sente quelli che devono lavorare ??? :)

Grazie di tutto comunque

@mascaos:

A dire il vero non ho avuto grossi prolemi con RC4.

Neppure io su macchine con chipset e processori intel.

Prova disabilitare dalla piastra intel SATA e USB 2 e UDMA giusto per fare una prova.
Poi prova a cambiare RAM (BSD è sensibile  :P).

Disabilitato tutto il disabilitabile, provato altri dischi, per le RAM no problem… Kingston nuove e testate. Provati altri dischi (di solito preferisco seagate momentus), provata la embedded... nada.
Peccato perchè questa scheda con linux va veramente bene, e costa poco.

Temo di no … cercando nei post in inglese c'è uno che ha offerto 250 $ per chi crea lo script ...

A livello logico penso si possa fare uno script + cron ... ovviamente non è il massimo ma in teoria regge :D

Matteo Secchi
MAS Computer s.n.c.

Immagino avrai gia letto questo link:
http://olddoc.pfsense.org/index.php/Setting_up_CARP_with_pfSense

Leggendolo così dovrebbe essere possibile … io non l'ho mai fatto ... ma appena esce la 1.2 stabile (in teroria questione di gg secondo quanto riportato qui http://blog.pfsense.org/) mi metto a fare qualche test pure io sul CARP.

Matteo
Ciaoz.-

No … non solo ... ti d'ho un link di un mio post vecchio dove spiego l'uso dei vip .. :D :P

http://forum.pfsense.org/index.php/topic,6461.0.html

Se non capisci proverò a spiegarti meglio

Ciaoz.-